Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Vesti, 26.06.2019, 02:00 AM

Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Istraživači iz kompanije Intego upozorili su na moguće iskorišćavanje nezakrpljene ranjivosti u macOS GateKeeper sigurnosnoj funkciji i PoC-a (Proof of Concept) koji je javno objavljen krajem prošlog meseca.

Istraživači su prošle nedelje otkrili četiri uzorka novog macOS malvera na VirusTotalu koji koriste ranjivost u GateKeeperu sa ciljem pokretanja napadačkog koda na macOS bez prikazivanja upozorenja korisnicima ili traženja njihove eksplicitne dozvole.

Međutim, novootkriveni malver, nazvan OSX/Linker, do sada nije viđen u napadima i čini se da je u fazi razvoja. Iako uzorci koriste ranjivost GateKeepera, oni ne preuzimaju nikakvu zlonamernu aplikaciju sa servera napadača.

Prema rečima Džošue Longa iz Intega, do prošle nedelje, autor malvera je samo obavljao svojevrsno izviđanje u svrhu detekcije. On kaže da je OSX/Linker rad programera OSX/Surfbuyer adwarea.

GateKeeper je sigurnosna funkcija ugrađena u Appleov macOS koja proverava preuzete aplikacije pre nego što im dopusti pokretanje, pomažući korisnicima da zaštite svoje sisteme od zlonamernog softvera.

To znači, ako preuzmete aplikaciju sa interneta, GateKeeper će joj dozvoliti da se pokrene bez ikakvih upozorenja samo ako je potpisana važećim certifikatom koji je izdao Apple, inače će vas pozvati da dozvolite ili odbijete pokretanje aplikacije.

Međutim, GateKeeper je dizajniran da tretira i eksterne diskove (USB ili HDD) i mrežna deljenja kao "bezbedne lokacije" odakle korisnici mogu da pokreću bilo koju aplikaciju bez uključivanja GateKeeperovih provera i zahteva.

Filipo Kavalarin, nezavisni bezbednosni istraživač, krajem prošlog meseca javno je otkrio način na koji je moguće iskoristiti GateKeeper u kombinaciji sa dve druge legitimne funkcije macOS operativnog sistema. Kavalarin je napravio ZIP fajl sa simboličkim linkom za mrežno deljenje koje kontroliše napadač.

Kada žrtva otvori ZIP fajl i klikne na link, preći će na mrežni deo koji kontroliše napadač i kome GateKeeper veruje, zbog čega žrtva može biti prevareena da pokrene maliciozne izvršne fajlove bez ikakvog upozorenja.

Međutim, novootkriveni uzorci malvera nisu ZIP fajlovi, već .dmg (disk image) fajlovi, što pokazuje da tvorci malvera eksperimentišu da bi videli da li će Kavalarinova ranjivost raditi i sa takvim fajlovima.

Kavalarin je obavestio Apple o svom otkriću 22. februara, ali je odlučio da izađe u javnost krajem prošlog meseca pošto kompanija nije uspela da reši ovaj problem u roku od 90 dana i počela je da ignoriše njegove emailove.

Dok Apple ne ispravi ovaj propust, Kavalarin savetuje administratore mreža da blokiraju NFS komunikacije sa spoljnim IP adresama, a kućne korisnike da ne otvaraju priloge iz nepoznatog, sumnjivog ili nepouzdanog izvora.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Procureli lični podaci svih građana Ekvadora, zbog toga uhapšen vlasnik jedne privatne firme

Procureli lični podaci svih građana Ekvadora, zbog toga uhapšen vlasnik jedne privatne firme

Vlasti Ekvadora uhapsile su generalnog direktora IT konsultantske firme Novaestrat nakon što su lični podaci gotovo svih stanovnika Republike Ekvado... Dalje

Kopije popularnih ekstenzija koje blokiraju reklame u Chromeu prevarile milione korisnika

Kopije popularnih ekstenzija koje blokiraju reklame u Chromeu prevarile milione korisnika

Više od 600 miliona korisnika surfuje internetom sa programima koji blokiraju reklame. Činjenica je da takvi programi znatno smanjuju dnevnu zaradu ... Dalje

SAD uvode sankcije za 3 severnokorejske hakerske grupe

SAD uvode sankcije za 3 severnokorejske hakerske grupe

Ministarstvo finansija Sjedinjenih Država u petak je najavilo sankcije protiv tri hakerske grupe koje finansira Severna Koreja zbog nekoliko destrukt... Dalje

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Vlada Sjedinjenih Država podnela je juče tužbu protiv uzbunjivača Edvarda Snoudena, bivšeg saradnika CIA i NSA, koji je 2013. godine napustio zem... Dalje

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

LastPass je ispravio ranjivost koja bi mogla omogućiti zlonamernim web sajtovima neovlašćeni pristup korisničkim imenima i lozinkama sa prethodno... Dalje